10명의 전문가들이 말하는 미래의 보안

10년 안에 우리가 아는 정보 보안이란 것은 어쩌면 존재하지 않을 지도 모른다. 별개의 제품이라기보다는 단순히 모든 것 속에 내장될는지도 모른다. 웹 서비스들은 전통적인 기업 보안을 일으켜 세울지도 모른다.

우리는 업계 내 최고의 전문가들에게 암호화로 두껍게 가려진 공격에서부터 기업 네트워크의 좀비화에 이르는 모든 것에 관해 어떻게 전망하고 있는지와 그 답은 여전히 찾기 어려운지를 물었다. 어떤 사람들은 급진적인 변화를 예견하는 반면, 또 어떤 사람들은 많은 것이 비슷하리라고 내다본다. 미래가 무엇을 가지고 있을지 살짝 엿보고 싶다면 계속 읽어보길 바란다.

1. 위트필드 디피(Whitfield Diffie)_Sun Microsystems 보안 담당 이사

오늘날 우리가 한 기업이 안전하게 컴퓨터 사용을 하고 있다고 말할 때 우리는 대개 그 기업이 그들의 컴퓨터를 사용하고 있으며 그런 컴퓨터 작업을 보호하기 위해 적절한 모든 수단이 사용되고 있다고 생각한다. 이런 면에서 10년 안에 그 어떠한 주요 사업의 컴퓨터 사용도 안전하지 않을 것이다. 10년 내에 구글과 같이 모든 것을 하는 수천 개의 웹 서비스가 생길 것이며 현실적으로 우리가 스스로 할 수 있는 것이 아무 것도 없을 것이다. 이것이 현실로 나타나면 우리가 오늘날 말하는 보안이라는 것은 영원히 사라지게 될 것이다.

2. 마커스 랜엄(Marcus Ranum)_Tenable Network Security의 CSO(영업부문 최고경영자 )

‘보안 연구자’들에게는 미안하지만 취약성의 뚜쟁이들은 더 나아지기 위한 과정의 중대한 부분이라고 말하며 끊임없이 주요 소프트웨어의 허점을 떠들어댈 것이다. 이 과정은 이미 지난 10년 간 계속되어왔지만 소프트웨어는 전혀 나아지지 않았기 때문에 앞으로 10년 뒤에도 나아질 것 같지는 않다. 그러는 동안 취약성 뚜쟁이들은 계속해서 취약성을 사고팔며 그것을 그들의 컨설팅 서비스 판매 수단으로 사용하고 있다.

3. 미코 하이포넨(Mikko Hypponen)_F-Secure 수석 연구자

향후 10년 내에 인터넷의 초점은 서양에서 동양으로 옮겨갈 것이다. 아시아의 인터넷 사용자들은 수적으로 미국이나 유럽의 사용자들보다 10대 1정도로 우세하다. 결과적으로 큰 그림으로 놓고 볼 때 영어 웹 사이트는 적어질 것이고 덜 중요한 부분이 될 것이다. 대부분의 활동이 다른 곳에서 벌어지게 되는 것이다. 이것은 또한 향후 10년 동안 수 억 개의 새로운 컴퓨터가 중국, 인도, 그리고 아시아의 다른 지역에서 사용될 것이라는 뜻이기도 하다. 이 컴퓨터들이 얼마나 잘 보호되겠는가? 인터넷 접속은 전기사용과 마찬가지로 유비쿼터스, 즉 언제 어디서든 사용 가능하게 될 것이다. 사람들은 더 이상 그것을 알아차리지 않을 것이다. 이것은 전화, MP3 플레이어, 자동차, 냉장고, 시계 등을 포함하며 우리에게 완전히 새로운 보안 문제 세트를 안겨줄 것이다.

무선 공격은 주요한 두통꺼리가 될 수 있다. 너무 가깝기 때문에 하나의 노트북에서 다른 노트북으로 뛰어넘어 다니는 Wi-Fi Windows 바이러스를 상상해보라. 이러한 Wi-Fi 웜은 기업간의 방화벽과 다른 안전장치들을 넘어 다니는 근접성(proximity) 때문에 사무실 건물 사이에서도 퍼질 수 있다. 그리고 사람들이 노트북을 들고 여행하면 그것들은 생체바이러스처럼 전 지구적으로 퍼질 수 있다.

4. 앨런 팰러(Alan Paller)_SANS Institute 연구소 소장

앞으로 3년은 소프트 보안 기술(정책·기록·인지 훈련)로부터 하드 보안 기술(공격 활용, 침입 감지, 격리와 구분)까지의 단계적인 변형을 보게 될 것이다. 워싱턴에 위치한 한 대규모 컨설팅 회사의 이사는 “우리 직원의 80%는 소프트 기술은 가지고 있지만, 오직 20%만이 하드 기술을 가지고 있다. 만일 우리가 향후2년 내에 그 비율을 변화시키지 못 하면 우리는 업계에서 사라지게 될 것이다”고 말하며 확고한 그림을 그렸다. 변화의 이유는 공격자들이 현 방어 체계를 무력화하는 방법을 알아내었기 때문이다. 그로 인해 경영자들은 후퇴하여 “이런 침투를 막으려면 무엇이 필요한가?”라고 물을 수밖에 없었다. 결국 답은 하나뿐이다. “소프트 기술을 하드 기술로 대체하라. 그래서 당신의 직원들이 실질적으로 공격들을 찾아내고 깨끗이 정리해서 반복되는 것을 막을 수 있게 하라.”

5. 피터 G. 노이만( Peter G. Neumann)_SRI International 컴퓨터 과학 연구실 수석 과학자

“앞으로의” 중대한 보안문제들: 첫째, 좋은 소프트웨어 엔진 실행이 가능한 Imbuing system 개발과 Trustworthy system 구성(보안 완수, 신뢰성, 인간의 안전, 수많은 현실 세계의 광고에 맞선 생존, 네트워크, 정보처리 상호 운영, 진보, 운영적인 인지 등 )의 보급.

둘째, 작고 입증된 운영 체계와 최소한의 서브시스템에 예측한대로 구성할 수 있고 특정한 요구에 맞춘 Trustworthy system을 개발하기 위해 사용될 수 있는 애플리케이션 컴포넌트의 확보.

셋째, 안전하고 예측한대로 훌륭한 암호화 기능을 Trustworthy systems에 내장하기, 넷째, Trustworthy system 만드는 방법에 관한 교육 보급.

6. 브루스 슈나이어(Bruce Schneier)_BT Counterpane의 CTO(기술 담당 최고 책임자)이자 ‘두려움 너머 - 불확실한 세계의 안전에 관해 분별 있게 생각하기(Beyond Fear: Thinking Sensibly About Security in an Uncertain World)의 저자

컴퓨터 보안은 소비자 제품에서부터 산업 제품에 이르기까지의 중대한 변화에 대한 준비가 되어있다. 컴퓨터와 네트워크가 사회 시설이 될 때, 개인 사용자와 조직 사용자들은 모두 단순히 무엇을 하는 지에 더욱 관심을 가질 뿐, 보안이 어떻게 작동하고 있는지에 관해서는 주의를 덜 기울이게 될 것이다. 보안은 더 이상 개별제품이 되지 않는 대신 모든 것에 내장될 것이다. 하지만 이것은 보안이 그 중요성을 잃게 될 것이라는 말은 아니다. 그 보다는 보안 시장은 새로운 자동차 기술의 예처럼 다른 산업 시장을 더욱 닮아갈 것이다.

7. 마크 러브리스(Mark Loveless)_Vernier Networks 수석 보안 설계자이자 “Simple Nomad”로 알려진 화이트-햇(white-hat) 해커

주요 단기간 보안 위협이 스팸을 보내고 맬웨어를 퍼뜨리는 봇넷과 DDoS의 형태로 위태로운 가정 시스템에 여전히 나타나는 한편, 기업 환경 내에서는 이러한 이슈들은 점점 더 부상하기 시작할 것이다. 2007년 초반 파이저 사(Pfizer-아이러니 하게도 비아그라 제조사이다) 네트워크 내의 좀비화 된 데스크톱 컴퓨터에서 인터넷 시스템으로 보내진 비아그라 스팸 사건은 이것을 상징하는 일이다. 네트워크의 다이내믹한 본성 때문에 접속을 규제하는 복잡한 네트워크에 의해 보호되지 못하는 시스템은 보다 빈번하게 스스로를 잠재적인 비자발적 봇넷 참여 대상으로 삼을 것이다. 나는 범죄 요소에 대한 현대 소프트웨어의 제로-데이 보안 결점 판매의 최근 경향 때문에 기업 네트워크 내에서 전반적인 좀비화 과정이 이전과는 비교할 수 없을 정도로 엄청나게 늘어날 것이라고 예상한다.

8. 하워드 슈미트(Howard Schmidt)_전 백악관 사이버보안 자문, R&H Security Consulting의 사장, CEO.

앞으로 5년에서 10년간의 추세는 안전한 애플리케이션 개발과 통제와 같은 다양한 분야에서의 보안 전문가 인증의 상당한 증가일 것이다. 우리는 또한 전통적으로 보안 전문가들이 전유했던 것과 같은 종류의 인증을 얻는 사람들이 아닐 수도 있는 IT 전문가들을 보게 될 것이다.

데이터의 라이프 사이클은 우리가 고군분투해야 할 문제이다. 그것은 예를 들어 자가 파괴되기 전에 신용 카드를 발급될 수 있을 만큼 충분히 오랫동안 양호한 상태로 존재하기 위해 특정한 기간을 가지는 데이터를 생성하는 방법에 관한 것이기도 하다. 어떻게 데이터를 찾고 보관하느냐와 같은 전반적인 데이터 관리 이슈는 우리가 앞으로 5년에서 10년 동안 다뤄야만 할 문제인 것이다.

최근 우리는 ID 관리의 전반적인 개념 때문에 고심하고 있다. 이것은 정말 전 지구적인 문제이다. 우리는 새로운 세계 시스템을 개발할 필요가 있다. 그 시스템으로 우리는 기본적으로 자신의 ID를 통제하고 따라서 그것을 보호할 수 있으며 그것에 문제가 생긴다 하더라도 나쁜 일이 생긴 후에 우리를 보호해주는 다른 누군가에게 의존하지 않은 채 상당히 짧은 시간 내에 그것을 스스로 복구할 수 있다는 확신을 가질 수 있게 될 것이다.

9. 마틴 뢰슈(Martin Roesch)_Sourcefire and Creator of Snort 창립자, CTO.

커뮤니티 위협은 끊임없이 가속화되며 보다 복잡해질 것이다. 배포 비율과 위협 증가의 복잡성 때문에 앞으로는 이러한 위협들을 특징짓는 것이 상당히 어려워질 것이다. 공격자들은 감지하기 어려운 방식들로 주요한 서버에 접속하기 위한 방법으로써 이전보다 훨씬 더 엔드 호스트에 집중할 것이다. 또한 암호화는 명백한 공격 방법을 감추기 위하여 보다 두텁게 사용될 것이다.

방어자들은 그들이 보호하고 있는 운영 환경과 보안 사건을 예고하는 그 환경에서의 변화를 이해하기 위해 더욱 인지 기술에 의존해야만 할 것이다. 또한 그 환경에서 오는 데이터 분석을 실행하고 보안 사건이 발생했을 때 적절한 시간 내에 대응하기 위한 행동을 취하기 위해 훨씬 많은 다량의 자동화가 필요할 것이다.

신속한 익스플로이트 개발, 침입 방지 시스템의 효력을 제한하기 위한 클라이언트 사이드 공격과 준 보급 암호화의 결합, 방화벽, 그리고 컨텐츠 분석 시스템과 같은 경향처럼 호스트 기반 방어는 상당히 중요해질 것이다.

10. 마커스 삭스(Marcus Sachs)_SANS Internet Storm Center 소장

세컨드 라이프(Second Life), 월드 오브 워크래프트(World of Warcraft), 에버퀘스트(EverQuest)까지 분명 가상 세계는 올 해 무르익었다. 범죄자들은 막 이것을 알아차리기 시작했고 특히 중국인 사이버 범죄자들은 그 세계에서 돈을 벌 수 있다는 것을 이미 알아차렸다. 상당한 문제였던 제로-데이 공격이 다소 감소했지만, 나는 그것이 사라졌다고 생각하지 않는다. 취약성뿐만 아니라 익스플로이트가 있는 분야에서 최초가 된다는 것에 대한 흥미가 엄청나다.

iPhone과 같은 새로운 장치를 해킹하는 것은 점점 더 많아지는 위협일 것이다. 상당수 이것은 독점적인 기술이고 폐쇄되어있기 때문에 첫 번째로 나타나서 “내가 이 닫힌 제품을 뚫었다”고 말하는 스릴이 있다. 웹 사이트를 손상시키거나 2006년에 그랬듯이 마이크로소프트 애플리케이션을 파괴함으로써 세상에 자신들의 표시를 남기고 싶어 하는 십대, 혹은 십대 이전의 어린 아이들이 성인이 되거나 파괴욕구가 그들을 사로잡기 시작하는 사춘기가 되었을 때 그들이 사용해오던 물건들, 문자 메시지를 주고받았던 인스턴트 메시징이나 휴대용 장치들을 파괴하고 싶어할 것이다. 마이크로소프트사는 꽤 훌륭한 패치 주기를 가지고 있지만 휴대 전화나 i팟, iPhone, 그리고 블루투스 장치들에 그것을 업데이트 하는 것이 얼마나 어려울지 상상이 되는가? 미래에는 가제트나 그렘린이 세상을 지배하는 것은 아닐까?

최고급의 자동차들은 블루투스를 장착하기 시작했고 그것은 끊임없이 보통 자동차 사이로 퍼져갈 것이다. 블루투스와 함께 당신은 상당한 편의를 누릴 수 있게 되지만 또한 불안전에 들어서게 된다. 블루투스의 일반적인 약점 하나는 매우 운에 달려있다는 점일 것이다. 블랙베리 서비스는 2007년 초에 이미 구시대 것이 됐다. 우리는 단순히 도둑이나 사기꾼뿐만 아니라 우리 사회가 누군가로 하여금 서비스의 부정을 야기하는 블랙베리나 블루투스의 일반적인 취약점을 찾아내도록 하는 것이 얼마나 파괴적인 것인지 알 수 있다.

<편집: 마샤 새비지[Marcia Savage]>

[월간 정보보호21c 통권 제89호(info@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)